En los últimos años se ha producido un notable incremento del fraude informático especialmente en operaciones bancarias y de pago. El robo de datos, la utilización fraudulenta de cuentas, la usurpación de identidad en los pagos, … parece estar a la orden del día.
Cada vez nos encontramos más expuestos a este tipo de actuaciones delictivas de las que nadie está exento pues no sólo los ciudadanos las sufrimos, sino que también las grandes empresas, plataformas digitales o incluso Ayuntamientos e instituciones públicas las han padecido, pues afecta a todos los usuarios de servicios bancarios.
Cualquier ataque informático puede suponer el pago de recibos o facturas de otras personas, la realización de transferencias a cuentas de desconocidos o la contratación no consentida de productos bancarios.
La proliferación de estas figuras hace cada vez más necesario conocer los distintos tipos de fraudes informáticos que existen, así como la posibilidad de reclamar a los Bancos por ello.
Les ofrecemos una serie de consejos para combatir el phishing
Contenido
Tipos de fraude informático o “phishing”
Los tipos de fraude informático que podemos sufrir son muy variados y cada uno tiene una denominación que conviene conocer para diferenciar unas actuaciones de otras:
Phishing: Es la denominación genérica del fraude informático. Se comete mediante correos electrónicos fraudulentos que contienen enlaces que redirigen a la víctima a páginas web falsas que aparentan ser de una entidad bancaria. Se suplanta perfectamente el entorno digital de una empresa reproduciendo con gran exactitud las páginas originales, incluso incluyendo logos o símbolos como el candado de entorno seguro. Es importante saber reaccionar ante estos fraudes.
Vishing: Es una variante del phishing y supone la obtención de contraseñas o datos de la víctima (de la cual con carácter previo se han obtenido datos relevantes como sus hábitos de consumo o empresas con las que tiene relación comercial) mediante llamada de teléfono.
Smishing: Utilización de SMS (mensajes de texto) que reconducen al entorno digital que simula una entidad bancaria, empresa de transportes o similar al que se adjunta un enlace con la finalidad de proceder a la obtención de contraseñas. Ofrecen datos reales del cliente (nombre y apellidos, número teléfono, etc.) que sólo podría conocer la empresa suplantada. Se accede incluso al historial de conversaciones del cliente con su banco o mensajes anteriores emitidos por el mismo Banco llegando incluso a utilizar simuladores del número de teléfono de la entidad
Sim swapping: Supone una duplicidad de la tarjeta SIM de la víctima del delito, que permite el acceso al terminal de telefonía de manera que permite que terceros validen aplicaciones o activen servicios a fin de obtener las claves de desbloqueo de la banca electrónica y tener el control de la disponibilidad del dinero de la víctima.
Duplicados de datos de tarjetas bancarias. Se lleva a cabo mediante un dispositivo colocado en un cajero automático que clona los datos de la tarjeta, y permite su posterior utilización por el delincuente.
Fraude del CEO. Se suplanta la identidad del directivo de la empresa, enviando un correo a cualquier empleado dependiente de éste en que se solicita la realización de operaciones bancarias urgentes y confidenciales.
Fraude de las facturas. Se suplanta la identidad del acreedor interceptando las comunicaciones entre proveedor y cliente, de manera que se modifica una factura enviada cambiándole el número de cuenta que no es el real sino el del defraudador.
Acción penal del afectado
Evidentemente todas las actividades anteriores son constitutivas de un delito de estafa regulado en el artículo 249 del Código Penal.
Si el fraude se detecta rápidamente, se debe denunciar de inmediato en el Juzgado de Guardia donde darán orden de retención de los fondos a la entidad bancaria que evite que el dinero salga de la cuenta.
La mayoría de las denuncias acaban en sobreseimiento del proceso por la dificultad para conocer la identidad de los autores, que, en la mayor parte de las ocasiones, hacen las transferencias o desvíos de dinero a terceros países mediante empresas o personas interpuestas, lo que hace muy complicado recuperar el dinero sustraído.
Acción civil
Ante la situación de phishing, lo mejor es recurrir a la vía civil pues existe responsabilidad de la entidad bancaria de cara a su cliente lo cual permitirá recuperar el dinero.
Existen tres tipos de responsabilidad del Banco:
1- Responsabilidad legal
Se regula por el Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que supuso la transposición al ordenamiento jurídico español de la Directiva 2015/2366 del Parlamento Europeo.
Esta Ley es aplicable a todos los servicios de pago prestados por los Bancos, por lo que no distingue entre consumidor y profesional.
Ahí se regulan las obligaciones de cada una de las partes implicadas:
Obligaciones del cliente:
- Adoptar medidas razonables a fin de proteger sus credenciales de seguridad personalizadas
- Actuar con diligencia media ante cualquier actividad delictiva que pueda sufrir
- Comunicar sin demora la sustracción o pérdida del instrumento de pago o las actuaciones fraudulentas que haya sufrido. Si ello se hace con rapidez y, en todo caso, en el plazo de trece meses, el Banco ha de proceder a la devolución del dinero
Obligaciones del Banco:
- Asegurarse de que las credenciales de seguridad sólo sean accesibles por el cliente
- No enviar medios de pago no solicitados y responder del riesgo de pérdida o extravío
- Disponer de mecanismos de comunicación gratuita de las operaciones no consentidas
- Impedir el uso del instrumento de pago extraviado, sustraído o empleado fraudulentamente desde que tenga notificación de ello.
- Exigir el doble factor de autenticación: clave de conocimiento, posesión (clave de un solo uso enviada al teléfono móvil para verificar la operación), o inherencia (reconocimiento facial o de voz).
En todo caso la carga de la prueba recae en la entidad bancaria que, caso de no querer proceder a la devolución del dinero ha de probar por un lado, que la operación fue realizada correctamente, autentificada, registrada y contabilizada y no afectada por fallo técnico; y, por otro lado, la negligencia grave o fraude del cliente.
Siempre se exige al banco que actúe con la diligencia propia de comerciante experto o profesional.
2 – Responsabilidad contractual
El banco tiene con su cliente un contrato de cuenta bancaria, de tarjeta de crédito, de tarjeta de débito, de banca digital, etc.
Existe responsabilidad de la entidad bancaria derivada de la existencia de estos contratos que le obliga a:
- Abstenerse de realizar operaciones cuando tenga sospechas de fraude (historial del cliente, número de operaciones, destinatario de éstas, falta de liquidez, …)
- Adoptar medidas activas anti-phishing
- Proteger los límites de seguridad diarios en la operativa
3 – Responsabilidad extracontractual
En ocasiones también se puede exigir responsabilidad a la entidad del beneficiario de la transferencia, que es entidad bancaria distinta a la de la víctima del phishing fundamentalmente por una falta de diligencia imputable a la misma en su calidad de entidad receptora de los fondos.
Ello existe por ejemplo cuando la entidad no comprueba que el IBAN que es el identificador único de la cuenta se corresponde con el nombre facilitado como titular de ésta, o por no comprobar los datos adicionales facilitados en la transferencia (domicilio, NIF o CIF, concepto, etc.).
Procedimiento para reclamar
Actuaciones extrajudiciales
Una vez comprobada la realización del hecho delictivo, lo primero que hemos de hacer es recopilar todas las pruebas de que dispongamos (SMS, contratos de cuenta, correos electrónicos, extractos de cargos bancarios, …) y formular reclamación al Banco que ha de ser contestada como máximo en el plazo de 15 días.
Demanda judicial
Si tras la reclamación anterior, el Banco no da una respuesta positiva, no queda más que formular una Demanda Civil que, dado que normalmente estos fraudes son de poca cuantía, se tramitarán por el procedimiento de juicio verbal.
Si la cantidad defraudada es inferior a 2.000,00 euros, no es preceptiva la intervención de abogado y procurador pero sí muy conveniente por el tipo de proceso que es y por el hecho de tener que enfrentarse a un Banco en defensa de sus intereses, lo cual exige conocer muy bien la Ley.
En la misma Demanda, se deben reclamar al banco los intereses de la cantidad sustraída, a contar desde que se reclamó al banco o se comunicó el hecho delictivo.
Abogados Llagas Gelo & Moreno Ramírez
Es un despacho multidisciplinar cuyos pilares fundamentales son la calidad en la prestación de servicios, el compromiso con el cliente. Estamos especializados en la reclamación de clausulas abusivas de hipotecas y préstamos, como las cláusulas suelo, comisiones de apertura, revolving, leasing, renting, tarjetas de crédito… etc.
Contacte con nosotros sin compromiso en nuestra web www.llmabogados.es, por email info@llmabogados.es o llamándonos 957480586.
Ana Moreno Ramírez
Abogada y API
www.llmabogados.es
www.raylahomes.com
Noticias de interés